Sujet Précédent Sujet Suivant

PC infesté

Résolu/Fermé
AK1 - 7 sept. 2010 à 14:30
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010 - 9 sept. 2010 à 00:17
Bonjour à tous,

Depuis hier, mon PC a été infecté par divers Trojan, Malware & Co. Il n'était pas protégé mais je n'en ai qu'une utilisation modérée et je ne vais que sur des sites que je connais. Bref, autant dire que je n'ai aucune idée de comment il a pu être infecté.

Pire, j'ai recupéré la totale de ces saloperies : Antimalware Doctor, Security Center, des programmes refusant de s'ouvrir car soit-disant infectés, des téléchargements qui ne démarrent pas pour cause de "paramétres de sécurité ne l'autorisant pas" (chose que je n'avais jamais eu avant infection), des fenêtres d'avertissement qui s'ouvrent, des pop-up sur internet, etc... Bref, je crois qu'il ne manque rien.

J'ai fait le tour des forums francais et anglais et j'ai essayé de faire des scans avec notamment Malwarebytes (qui ne peut se mettre à jour à cause de l'infection) et BitDefender. Les scans n'ont pas été fait dans les meilleures conditions j'imagine puisque les spyware et autre trojans tournaient en même temps. Malgré ca, des fichiers infectés, que j'ai supprimé, ont été trouvés. Mais rien ne change.

Je précise que, pour contourner l'impossibilité d'ouvrir des programmes, je lance rapidement le Gestionnaire des tâches dès ouverture de la session (si j'attend quelques secondes que les spyware se lancent, je ne peux même plus ouvrir ce dernier ni panneau de configuration, etc...) qui me permet ensuite de fermer certains des spyware. C'est donc ainsi que j'ai pu faire tourner Malware Bytes et BitDefender.

J'ai tenté de télécharger Rkill qui semble nécessaire mais c'est impossible.

Bref, je suis un peu dans une impasse et je tourne en rond. Un formatage me semble inévitable (même la restauration ne fonctionne pas) mais, à tout hasard, je poste ici au cas où quelqu'un pourrait m'aider.

Désolé pour le roman mais il me semble utile de décrire au mieux tout ce qui se passe et merci d'avance pour toute aide !
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
Utilisateur anonyme
7 sept. 2010 à 14:35
bonjour
As tu essayé en mode sans échec ?
0
Réponse 2 / 29
AK1
7 sept. 2010 à 14:40
Bonjour,

Oui, j'ai essayé de scanner avec Malware en mode sans échec mais le résultat est identique. Le probléme est que je n'arrive pas à me connecter sur internet en mode sans échec donc ca ne me permet pas de mettre à jour ces logiciels et d'en télécharger d'autres.

La seule différence en mode sans échec est que les spyware ne se lancent plus et les programmes et autres applications ne plantent plus lorsqu'ils sont lancés.
0
Réponse 3 / 29
Utilisateur anonyme
7 sept. 2010 à 15:08
Tu as le mode sans échec avec prise en charge de réseau, si cela ne marche
pas, je vais te préparer quelque chose
0
Réponse 4 / 29
AK1
7 sept. 2010 à 15:23
Alors, je viens tout juste d'essayer et ca ne change rien. Pour la connexion internet, on m'affiche "Windows n'a detecté aucun réseau". Quand je clique sur "Afficher les ordinateurs et les périphériques du réseau", rien n'est detecté. Voilà...

Merci en tout cas de prendre ton temps pour m'aider !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
Utilisateur anonyme
7 sept. 2010 à 15:41
Il faudrai télécharger à partir d'un autre PC, avec une clé USB qu'il va falloir
vacciner avant
As tu une clé USB ?
Quel OS possèdes tu ?
0
Réponse 6 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 16:33
Pour l'OS, je tourne sous Windows Vista.

Je n'ai pas de clé USB sous la main. Je pourrais sans doute me débrouiller pour télécharger d'un autre PC sur une clé USB d'ici 2-3 jours mais j'ai besoin du PC pour le boulot. Donc s'il y avait une autre solution plus rapide, elle serait la bienvenue.

Sinon, si la majorité des liens de téléchargement ne fonctionnent pas, j'arrive encore à télécharger via MegaUpload par exemple (c'est là que j'ai récupéré BitDefender). Par contre, impossible de télécharger via des sites comme telecharger.com ou de récupérer Rkill sur sa plateforme de téléchargement...
0
Réponse 7 / 29
Utilisateur anonyme
7 sept. 2010 à 16:45
Essaye ceci
Désactive l'UAC: contrôle de compte d'utilisateur

Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs
Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs:
Une nouvelle fenêtre s'ouvre,décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK:
Une demande s'affiche si vous voulez redémarrer votre ordinateur, clique sur redémarrer maintenant

https://forums.cnetfrance.fr


Avant de commencer, fait une sauvegarde de tous tes documents
Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure

Télécharge ComboFix (de sUBs), renommé AK1 sur ton Bureau :
http://sd-1.archive-host.com/membres/up/203669918515832581/AK1.exe

tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Clic droit sur AK1.exe, et sur exécuter en tant qu'administrateur
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie...Clique sur oui pour accepter
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 8 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 17:59
Merci pour la marche à suivre. Voici le rapport :

ComboFix 10-09-06.04 - Darko 07/09/2010 17:41:50.1.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3325.2374 [GMT 2:00]
Lancé depuis: c:\users\Darko\Desktop\AK1.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\acer\Preload\Autorun\DRV\Pro-Nets Modem HPI56M3\_desktop.ini
c:\acer\Preload\Autorun\DRV\Pro-Nets Modem HPI56M3\98\_desktop.ini
c:\acer\Preload\Autorun\DRV\Pro-Nets Modem HPI56M3\ME\_desktop.ini
c:\acer\Preload\Autorun\DRV\Pro-Nets Modem HPI56M3\VISTAXP2K\_desktop.ini
c:\acer\Preload\Autorun\DRV\Pro-Nets Modem HPI56M3\VISTAXP2K\amd64\_desktop.ini
c:\acer\Preload\Autorun\DRV\Pro-Nets Modem HPI56M3\VISTAXP2K\x86\_desktop.ini
c:\programdata\hpeB260.dll
c:\programdata\hpeE7A3.dll
c:\users\Darko\AppData\Local\Windows Server
c:\users\Darko\AppData\Local\Windows Server\admin.txt
c:\users\Darko\AppData\Local\Windows Server\hlp.dat
c:\users\Darko\AppData\Local\Windows Server\server.dat
c:\users\Darko\AppData\Roaming\B8502F6E003F520B33E1549C8CB9D2C4
c:\users\Darko\AppData\Roaming\B8502F6E003F520B33E1549C8CB9D2C4\enemies-names.txt
c:\users\Darko\AppData\Roaming\B8502F6E003F520B33E1549C8CB9D2C4\local.ini
c:\users\Darko\AppData\Roaming\B8502F6E003F520B33E1549C8CB9D2C4\lsrslt.ini
c:\users\Darko\AppData\Roaming\B8502F6E003F520B33E1549C8CB9D2C4\mediafix70700en02.exe
c:\users\Darko\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\users\Darko\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk
c:\users\Darko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor
c:\users\Darko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk
c:\users\Darko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk
c:\windows\system32\comsats.sys
c:\windows\system32\Install.cmd
c:\windows\system32\Install.txt
c:\windows\system32\szetyj67v.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-07 au 2010-09-07 ))))))))))))))))))))))))))))))))))))
.

2010-09-07 15:50 . 2010-09-07 15:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-07 10:12 . 2010-09-07 10:12 4 ----a-w- c:\windows\system32\aspdict-en.dat
2010-09-07 10:12 . 2010-09-07 10:12 16 ----a-w- c:\windows\system32\asdict.dat
2010-09-07 10:05 . 2010-09-07 10:05 -------- d-----w- c:\users\Darko\AppData\Roaming\BitDefender
2010-09-07 10:05 . 2010-09-07 10:08 -------- d-----w- c:\programdata\BitDefender
2010-09-07 10:05 . 2010-09-07 10:05 -------- d-----w- c:\program files\BitDefender
2010-09-07 10:02 . 2010-09-07 10:05 -------- d-----w- c:\program files\Common Files\BitDefender
2010-09-06 21:43 . 2010-09-06 21:43 -------- d-----w- c:\users\Darko\AppData\Local\kpesnrukp
2010-09-06 21:42 . 2010-09-06 22:30 -------- d-----w- c:\users\Darko\AppData\Local\Windows
2010-08-28 16:55 . 2010-08-28 16:55 -------- d-----w- c:\program files\vShare

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 15:44 . 2008-01-21 08:40 678804 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-07 15:44 . 2008-01-21 08:40 126420 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-07 13:15 . 2010-03-28 12:30 1356 ----a-w- c:\users\Darko\AppData\Local\d3d9caps.dat
2010-09-07 10:08 . 2009-01-13 12:52 -------- d-----w- c:\programdata\Norton
2010-09-06 23:13 . 2010-02-24 22:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-06 19:41 . 2010-07-01 18:22 -------- d-----w- c:\program files\Everest Poker.fr
2010-09-03 18:45 . 2010-07-30 18:45 456200 ----a-w- c:\users\Darko\AppData\Roaming\Real\Update\setup3.12\setup.exe
2010-09-01 18:11 . 2009-10-19 12:10 1 ----a-w- c:\users\Darko\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-12 21:37 . 2009-01-13 12:34 -------- d-----w- c:\program files\Microsoft Works
2010-08-12 21:35 . 2009-01-13 12:33 -------- d-----w- c:\programdata\Microsoft Help
2010-08-12 21:35 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-09 14:49 . 2010-03-05 13:38 -------- d-----w- c:\users\Darko\AppData\Roaming\vlc
2010-08-09 14:45 . 2010-06-23 22:07 -------- d-----w- c:\users\Darko\AppData\Roaming\dvdcss
2010-08-07 14:22 . 2010-08-07 14:22 -------- d-----w- c:\programdata\SEGA Corporation
2010-08-07 10:31 . 2010-08-07 10:17 -------- d-----w- c:\program files\Drakensang
2010-08-07 09:52 . 2009-01-13 12:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-07 09:51 . 2010-08-07 09:51 -------- d-----w- c:\program files\SEGA
2010-08-07 09:51 . 2009-12-02 01:22 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-08-07 09:51 . 2009-12-02 01:22 -------- d-----w- c:\program files\AGEIA Technologies
2010-08-06 11:11 . 2010-08-06 11:11 122880 ----a-w- c:\users\Darko\AppData\Roaming\Real\Update\setup3.12\RUP\inst_config\compat.dll
2010-08-04 09:51 . 2009-07-31 21:43 -------- d-----w- c:\users\Darko\AppData\Roaming\uTorrent
2010-06-29 15:47 . 2010-08-12 10:53 834048 ----a-w- c:\windows\system32\wininet.dll
2010-06-28 16:13 . 2010-08-12 10:53 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-06-23 09:13 . 2010-06-23 09:13 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb2B17.tmp.exe
2010-06-21 13:37 . 2010-08-12 10:53 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 17:31 . 2010-08-12 10:53 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-06-18 15:04 . 2010-08-12 10:53 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-12 10:53 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-16 16:04 . 2010-08-12 10:53 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-06-11 16:16 . 2010-08-12 10:53 274944 ----a-w- c:\windows\system32\schannel.dll
2010-06-11 16:15 . 2010-08-12 10:53 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-09-07 13:36 . 2009-07-25 11:20 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-12-17 23:04 . 2009-07-25 09:16 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 . 2009-07-25 09:16 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 . 2009-07-25 09:16 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 . 2009-07-25 09:16 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 . 2009-07-25 09:16 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
2010-08-17 11:11 431720 ----a-w- c:\program files\vShare\vshare_toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"= "c:\program files\vShare\vshare_toolbar.dll" [2010-08-17 431720]

[HKEY_CLASSES_ROOT\clsid\{043c5167-00bb-4324-af7e-62013faedacf}]
[HKEY_CLASSES_ROOT\vShare.PugiObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}]
[HKEY_CLASSES_ROOT\vShare.PugiObj]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"= "c:\program files\vShare\vshare_toolbar.dll" [2010-08-17 431720]

[HKEY_CLASSES_ROOT\clsid\{043c5167-00bb-4324-af7e-62013faedacf}]
[HKEY_CLASSES_ROOT\vShare.PugiObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}]
[HKEY_CLASSES_ROOT\vShare.PugiObj]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-07 1038136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-23 68856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"souftifs"="c:\users\Darko\AppData\Local\kpesnrukp\ilrpxwduqiw.exe" [2010-09-06 242176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-24 6111232]
"FujiKeyboard"="c:\acer\Preload\Autorun\DRV\FUJI Keyboard\ABoard.exe" [2008-09-18 79416]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-09-07 30192]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-07 1038136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-16 13584928]
"diagnostics"="c:\program files\Thomson\ST330\diagnostics\diagnostics.exe" [2009-07-24 557149]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-07-25 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-19 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-03-18 1123360]

c:\users\Darko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):f1,f9,db,3a,10,3d,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1584127750-1321530750-2227711917-1000]
"EnableNotificationsRef"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 135664]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112]
R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2009-10-19 183880]
R3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;c:\program files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-12-15 25832]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-09-07 30192]
R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2008-11-04 86696]
R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2008-11-04 15016]
R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2008-11-04 114472]
R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2008-11-04 108328]
R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2008-11-04 26024]
R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2008-11-04 104616]
R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2008-11-04 109736]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 BdfNdisf;BitDefender Firewall NDIS 6 Filter Driver;c:\windows\system32\DRIVERS\BdfNdisf6.sys [2009-10-19 72200]
S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [2010-01-19 85128]
S2 ETService;Empowering Technology Service;c:\program files\Packard Bell\Packard Bell Recovery Management\Service\ETService.exe [2008-07-16 24576]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [2010-02-03 153448]
S3 ST330;ST330;c:\windows\system32\drivers\st330.sys [2009-07-23 30464]
S3 STBUS;STBUS;c:\windows\system32\drivers\stbus.sys [2009-07-23 12672]
S3 stppp;Speedtouch PPP Adapter Adapter;c:\windows\system32\DRIVERS\stppp.sys [2009-07-23 35328]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 12:36]

2010-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 12:36]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com
mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp32&d=0309&m=imedia_x4530_fr
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6092
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
Trusted Zone: account.everestpoker.fr
Trusted Zone: chat-land.org
Trusted Zone: everestpoker.com\account
Trusted Zone: everestpoker.fr\account
Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - c:\program files\vShare\vshare_toolbar.dll
FF - ProfilePath - c:\users\Darko\AppData\Roaming\Mozilla\Firefox\Profiles\wb0ojhfl.default\
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.cherche.us/ FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "http://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "http://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "http://sb.google.com/safebrowsing/report?");
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Sony Ericsson PC Suite - j:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
HKCU-Run-mediafix70700en02.exe - c:\users\Darko\AppData\Roaming\B8502F6E003F520B33E1549C8CB9D2C4\mediafix70700en02.exe
HKCU-Run-NetLog2 - c:\windows\svc2.exe
HKCU-Run-NetLog3 - c:\windows\svc3.exe
HKLM-Run-eRecoveryService - (no file)
SafeBoot-klmdb.sys
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe
AddRemove-NIS2009 - c:\program files\Norton Internet Security\Engine\16.0.0.125\RunCmd.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 17:50
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\st330service]
"ImagePath"="C:\Program Files/Thomson/ST330/service/st330service.exe -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-09-07 17:52:47
ComboFix-quarantined-files.txt 2010-09-07 15:52

Avant-CF: 341 265 240 064 octets libres
Après-CF: 343 143 108 608 octets libres

- - End Of File - - CAC78D03BCCCFBE63D8F6FF45A3C8BA3
0
Réponse 9 / 29
Utilisateur anonyme
7 sept. 2010 à 18:06
Cela a marché

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
0
Réponse 10 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 18:22
Oui, je n'ai pas encore redemarré le PC mais j'ai l'impression que ca a fonctionné. IE n'est plus pollué comme avant déjà. Tu m'ôtes une sacrée épine du pied.... Merci infiniment.

Voici le lien du rapport : http://www.cijoint.fr/cjlink.php?file=cj201009/cijNWRcBZw.txt
0
Réponse 11 / 29
Utilisateur anonyme
Modifié par Jawaryinti le 7/09/2010 à 18:39
Je te conseille de virer Evrest Poker, car ce programme a tendence à
infecter les PC, est-ce que tu l'utilises ?

Apparamment, Combofix a viré un rogue Antimalware doctor
ll ne faut plus cliquer sur les bannières publicitaires, et méfie toi des pages web
qui proposent de scanner ton PC sans rien installer
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
0
Réponse 12 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 18:50
Oui, j'utilise Everest réguliérement et depuis un bout de temps et, a priori, je n'ai jamais eu aucun soucis avec. En tout cas, pas de maniére visible.

Je ne clique jamais sur des trucs soucponneux et j'évite les pages que je ne connais pas. J'ai sans doute du cliquer sur une pop-up par mégarde en effet.

Tu penses donc que le PC est clean maintenant ? Et y'a-t-il un programme assez costaud pour éviter ces mésaventures ?
0
Réponse 13 / 29
Utilisateur anonyme
7 sept. 2010 à 18:57
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

M0 - MFSP: prefs.js [Darko - wb0ojhfl.default] http://ww12.cherche.us")
[HKCU\Software\Grand Virtual]
[HKLM\Software\BrowserChoice]
O69 - SBI: prefs.js [Darko - wb0ojhfl.default] user_pref("browser.startup.homepage", "http://ww12.cherche.us");
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://google.cherche.usSO-8859-1&q={searchTerms}+&meta=


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
as mis en mémoire
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse

C'est pas encore finit, on continuera plus tard dans la soirée, ou demain
0
Réponse 14 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 19:04
Ok, merci beaucoup. L'essentiel est fait au moins, c'est moins le chaos sur le PC, je peux y bosser à nouveau.

Voici le rapport :

Rapport de ZHPFix v1.12.3146 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-07-09-2010-19-02-19.txt
Run by Darko at 07/09/2010 19:02:19
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Grand Virtual => Clé supprimée avec succès
HKLM\Software\BrowserChoice => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://google.cherche.usSO-8859-1&q={searchTerms}+&meta= => Donnée remplacée avec succès

========== Préférences navigateur ==========
M0 - MFSP: prefs.js [Darko - wb0ojhfl.default] http://ww12.cherche.us") => Valeur supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Préférences navigateur


End of the scan
0
Réponse 15 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 19:45
Bon, fausse joie, le Trojan Security Suite (se manifeste sous le nom Windows Security Alert dans la barre des taches) qui simule un faux scan est de retour. Et il recommence avec ses messages d'erreur et à bloquer l'éxecution des programmes et autres applications.

Pourtant, je ne suis allé sur aucun site à risque et je n'ai cliqué sur rien que je ne connaissais pas. J'étais sur Google lorsqu'il est apparu tout seul. Bref, il n'a pas du être éliminé.

En tout cas, pour le moment, plus de signer de Antimalware Doctor et de 2-3 autres spyware bizarres.
0
Réponse 16 / 29
Utilisateur anonyme
7 sept. 2010 à 21:21
Télécharge rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

Enregistre le fichier sur le Bureau.
Désactive le module résident de l'antivirus et celui de l'antispyware.
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution

met à jour ton Malwarebytes, et fait un scan complet

0
Réponse 17 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
7 sept. 2010 à 23:35
J'ai exécuté Rkill et, effectivement, une fenêtre noire s'ouvre puis disparaît presque aussi tôt et j'ai le rapport suivant :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Darko on 07/09/2010 at 22:39:04.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Users\Darko\Desktop\rkill.exe


Rkill completed on 07/09/2010 at 22:39:08.

J'imagine que ca a fonctionné ? En tout cas, lorsqu'il est exécuté, Rkill met de suite un terme a Security Suite. J'ai ensuite lancé un scan complet avec Malwarebytes derniére version et mis à jour, il m'a trouvé 5 éléments infectés et que j'ai supprimé. Voici le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4564

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07/09/2010 23:34:02
mbam-log-2010-09-07 (23-34-02).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 323156
Temps écoulé: 51 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\wnxmal (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\souftifs (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Darko\AppData\Local\av.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Darko\AppData\Local\kpesnrukp\ilrpxwduqiw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Users\Darko\AppData\Local\Windows\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
0
Réponse 18 / 29
Utilisateur anonyme
7 sept. 2010 à 23:39
C'est parfait ça, on est bien parti en tout cas
Vide la quarantaine de Malwarebytes qui a viré Sécurity Suite, et un restant
de l'autre rogue
tu avais 2 rogues dans ton PC
Comment va ton PC ?
Pourras tu me refaire ZHPDiag pour que je vois ce qu'il reste à faire,
je regarderai demain
0
Réponse 19 / 29
AK13 Messages postés 14 Date d'inscription mardi 7 septembre 2010 Statut Membre Dernière intervention 9 septembre 2010
8 sept. 2010 à 00:09
2 rogues, rien que ca ! Bon, j'ai vidé la quarantaine de Malwarebytes, il n'y a plus rien.

Pour le moment, ca m'a l'air nickel. Visuellement, il n'y a plus aucun des problémes qu'il y avait avant, tout est clean. Avant que l'on vire le Security Suite, il me semblait un poil plus lent qu'avant. Maintenant, il a retrouvé sa rapidité je crois.

Voici le ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201009/cijIr2yvc2.txt

Merci à toi
0
Réponse 20 / 29
Utilisateur anonyme
8 sept. 2010 à 13:31
Bonjour
Tu cours des risques avec Evrest Poker, c'est peut-être avec ce logiciel que tu
as attrapé les rogues, il est possible que ce logiciel télécharge des rogues
0